Ubuntu系統(tǒng)中/etc目錄下有三個(gè)和用戶登錄訪問(wèn)控制相關(guān)的文件：passwd、shadow、group。以前比較老的Unix系統(tǒng)將經(jīng)過(guò)哈希處理的密碼直接放在passwd文件中，現(xiàn)在的*nix則把經(jīng)過(guò)處理的密碼放在shadow這個(gè)文件中，這三個(gè)文件的用途可以參考：http://blog.sina.com.cn/s/blog_5edae1a101017gfn.html

創(chuàng)新互聯(lián)主營(yíng)臨河網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,成都app軟件開發(fā),臨河h5小程序定制開發(fā)搭建,臨河網(wǎng)站營(yíng)銷推廣歡迎臨河等地區(qū)企業(yè)咨詢

   打開/etc/shadow文件內(nèi)容如下圖：

   可以看到從“$6$”開始到“GJr..”結(jié)束這一段字符是經(jīng)過(guò)哈希處理的用戶密碼，那么我們現(xiàn)在想知道這個(gè)字符串是如何生成的，我們查看了Ubuntu官方的文檔：

shadow文件說(shuō)明：http://manpages.ubuntu.com/manpages/karmic/man5/shadow.5.html

crypt加密算法說(shuō)明：http://manpages.ubuntu.com/manpages/karmic/man3/crypt.3.html

   從官方文檔中我們可以知道用戶密碼經(jīng)過(guò)了glibc中的crypt算法的處理，“$6$3rhg9.la$”是哈希過(guò)程中使用到的鹽值，那么鹽值有什么作用呢？我們知道對(duì)于一個(gè)已知的哈希算法和一個(gè)固定的字符串來(lái)說(shuō)，其哈希的結(jié)果是相同的，那么假設(shè)一個(gè)系統(tǒng)中有很多用戶，那么其中的一些用戶就可能使用相同的密碼，例如兩人都使用了“123456”作為登陸密碼，那么在不使用鹽值的情況下，經(jīng)過(guò)處理的密碼字符串就是一樣的。雖然“非法***者”無(wú)法直接從經(jīng)過(guò)處理的字符串獲得明文密碼，但仍然可以知道有兩個(gè)人使用了相同的密碼。為了避免這種情況，我們就可以在對(duì)用戶的密碼進(jìn)行哈希時(shí)在原始密碼的后邊拼上一個(gè)鹽值（m//salt），這樣做的好處有兩個(gè)：一方面由于鹽值隨機(jī)產(chǎn)生，避免相同密碼產(chǎn)生同意的哈希值；另一方面增加了***者暴力破解的計(jì)算復(fù)雜度（增加了2^|salt|倍）。“$6$3rhg9.la$”分為兩個(gè)部分：“6”和“3rhg9.la”，第一個(gè)參數(shù)是哈希算法選擇參數(shù)，在官方文檔中已經(jīng)提到，第二個(gè)是隨機(jī)產(chǎn)生的字符串。

   python自帶的crypt算法可以調(diào)用glibc中的crypt算法，我們打開python源文件中l(wèi)ib目錄下的crypt.py文件可以看到python對(duì)glibc中的crypt算法的調(diào)用過(guò)程：

def crypt(word, salt=None):
    """Return a string representing the one-way hash of a password, with a salt
    prepended.
    If ``salt`` is not specified or is ``None``, the strongest
    available method will be selected and a salt generated.  Otherwise,
    ``salt`` may be one of the ``crypt.METHOD_*`` values, or a string as
    returned by ``crypt.mksalt()``.
    """
    if salt is None or isinstance(salt, _Method):
        salt = mksalt(salt)
    return _crypt.crypt(word, salt)

   打開glibc源文件中crypt目錄下的crypt-entry.c文件，我們可以看到根據(jù)鹽值前三個(gè)字符進(jìn)行哈希算法選擇的代碼：

/* Define our magic string to mark salt for MD5 encryption
   replacement.  This is meant to be the same as for other MD5 based
   encryption implementations.  */
static const char md5_salt_prefix[] = "$1$";
/* Magic string for SHA256 encryption.  */
static const char sha256_salt_prefix[] = "$5$";
/* Magic string for SHA512 encryption.  */
static const char sha512_salt_prefix[] = "$6$";
/* For use by the old, non-reentrant routines (crypt/encrypt/setkey)  */
extern struct crypt_data _ufc_foobar;

   在測(cè)試過(guò)程中最開始下載的是glibc2.6，這個(gè)版本并沒有$5$和$6$對(duì)應(yīng)的sha256/sha512算法，只有MD5，然后下載了最新的glibc2.18版本才看到了這兩個(gè)算法，可以猜出使用glibc2.6版本及以前的版本的linux系統(tǒng)中，shadow文件并不是現(xiàn)在這樣的。本Ubuntu系統(tǒng)的gblic版本是2.11（ldd --version查看），該版本glibc也支持sha256/sha512。我們給出的例子里前三個(gè)字符是“$6$”，我們可以知道系統(tǒng)使用的哈希算法是sha512。由于python調(diào)用的是glibc中的crypt算法，所以自然可以知道在windows平臺(tái)下python的這個(gè)算法是無(wú)法調(diào)用的。現(xiàn)在使用python寫一些腳本來(lái)測(cè)試一下：

在crypt函數(shù)中輸入兩個(gè)參數(shù)，一個(gè)是我們的登陸密碼，另一個(gè)是鹽值，我們可以看到輸出的結(jié)果和shadow文件中經(jīng)過(guò)處理的密碼字符串相同。

   shadow文件默認(rèn)只能由root用戶訪問(wèn)，一般用戶沒有訪問(wèn)權(quán)限，非法***者通過(guò)一定途徑獲得該文件后通過(guò)暴力嘗試密碼就有可能獲得原始的明文密碼，所以用戶在設(shè)置密碼的時(shí)候盡量包含多種字符（大小寫、數(shù)字、特殊符號(hào)）并超過(guò)一定的長(zhǎng)度，以此來(lái)提升系統(tǒng)的安全性。

網(wǎng)站名稱：探究Ubuntu如何存儲(chǔ)用戶登錄密碼
轉(zhuǎn)載源于：http://vcdvsql.cn/article22/peisjc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供Google、云服務(wù)器、定制網(wǎng)站、虛擬主機(jī)、品牌網(wǎng)站制作、面包屑導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)